III. Otras disposiciones. MINISTERIO DE ASUNTOS ECONÓMICOS Y TRANSFORMACIÓN DIGITAL. Seguridad informática. (BOE-A-2023-8109)
Orden ETD/305/2023, de 16 de marzo, por la que se aprueba la política de seguridad de la información del Ministerio de Asuntos Económicos y Transformación Digital.
16 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46424
directrices generales, normas y procedimientos de seguridad de la información que
puedan afectar a sus funciones.
4. El CDSI establecerá los mecanismos necesarios para compartir la
documentación derivada del desarrollo normativo con el propósito de normalizarlo, en la
medida de lo posible, en todo el ámbito de aplicación de la PSI.
5. Este marco normativo estará a disposición del personal del Ministerio de Asuntos
Económicos y Transformación Digital, y del de aquellos organismos públicos y entidades
de derecho público vinculados o dependientes del Departamento que formen parte del
ámbito de aplicación de la PSI.
Artículo 17.
Protección de datos de carácter personal.
1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por
parte del Ministerio de Asuntos Económicos y Transformación Digital, las medidas de
seguridad apropiadas derivadas del análisis de riesgos, así como de la evaluación de
impacto relativa a la protección de datos, que se detalla en el RGPD y en la Ley
Orgánica 3/2018, de 5 de diciembre.
2. Además, se aplicarán las medidas correspondientes al Anexo II del Real
Decreto 311/2022, de 3 de mayo. En el caso de que el análisis de riesgos determine
medidas agravadas respecto a la normativa recogida en las medidas del citado Anexo,
las medidas derivadas del análisis de riesgos serán las que se implementarán en la
protección de datos de carácter personal.
3. En particular, se tendrá en cuenta el artículo 32 del RGPD, en cuanto a la
exigencia de una identificación de riesgos específicos para los derechos y libertades de
las personas en relación a los tratamientos de datos personales, que debe ser previo al
análisis de riesgos de los sistemas donde se implementen dichos tratamientos, de forma
que el nivel de seguridad sea adecuado al riesgo que los tratamientos de datos
personales suponen para los derechos y libertades de las personas.
4. Los servicios de ciberseguridad y administración de sistemas, dependientes de
los respectivos Responsables de los Sistemas, podrán implementar tratamientos de
datos personales como consecuencia de la implantación de medidas de seguridad que
tengan un objeto distinto que la protección de los datos personales, en base a lo
dispuesto en el artículo 24 del Real Decreto 311/2022, de 3 de mayo, y teniendo en
cuenta, entre otros, los principios de limitación de finalidad; prohibición del tratamiento de
los datos personales para fines distintos; el principio de minimización de datos,
identificando los datos personales o las categorías de datos personales que pudieran ser
tratados; o del principio de limitación del plazo de conservación, identificando los plazos
máximos de conservación de los datos personales.
Terceras partes.
1. Cuando el Ministerio de Asuntos Económicos y Transformación Digital utilice
servicios o maneje información de otros organismos, se les hará partícipes de esta PSI,
se establecerán canales de información y coordinación de los respectivos Comités de
Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante
incidentes de seguridad.
2. Cuando el Ministerio de Asuntos Económicos y Transformación Digital preste
servicios o ceda información a terceros, se les hará partícipes de esta PSI y de la
Normativa de Seguridad que ataña a dichos servicios e información. Los mismos
quedarán sujetos a las obligaciones establecidas en dicha normativa, pudiendo
desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán
procedimientos específicos de reporte y resolución de incidencias y se garantizará que el
personal de terceros esté adecuadamente concienciado en materia de seguridad.
3. Cuando algún aspecto de la PSI no pueda ser satisfecho por una tercera parte
según se establece en los párrafos anteriores, se requerirá un informe del Responsable
de la Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Dicho
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Artículo 18.
Núm. 76
Jueves 30 de marzo de 2023
Sec. III. Pág. 46424
directrices generales, normas y procedimientos de seguridad de la información que
puedan afectar a sus funciones.
4. El CDSI establecerá los mecanismos necesarios para compartir la
documentación derivada del desarrollo normativo con el propósito de normalizarlo, en la
medida de lo posible, en todo el ámbito de aplicación de la PSI.
5. Este marco normativo estará a disposición del personal del Ministerio de Asuntos
Económicos y Transformación Digital, y del de aquellos organismos públicos y entidades
de derecho público vinculados o dependientes del Departamento que formen parte del
ámbito de aplicación de la PSI.
Artículo 17.
Protección de datos de carácter personal.
1. Se aplicarán a los datos de carácter personal que sean objeto de tratamiento por
parte del Ministerio de Asuntos Económicos y Transformación Digital, las medidas de
seguridad apropiadas derivadas del análisis de riesgos, así como de la evaluación de
impacto relativa a la protección de datos, que se detalla en el RGPD y en la Ley
Orgánica 3/2018, de 5 de diciembre.
2. Además, se aplicarán las medidas correspondientes al Anexo II del Real
Decreto 311/2022, de 3 de mayo. En el caso de que el análisis de riesgos determine
medidas agravadas respecto a la normativa recogida en las medidas del citado Anexo,
las medidas derivadas del análisis de riesgos serán las que se implementarán en la
protección de datos de carácter personal.
3. En particular, se tendrá en cuenta el artículo 32 del RGPD, en cuanto a la
exigencia de una identificación de riesgos específicos para los derechos y libertades de
las personas en relación a los tratamientos de datos personales, que debe ser previo al
análisis de riesgos de los sistemas donde se implementen dichos tratamientos, de forma
que el nivel de seguridad sea adecuado al riesgo que los tratamientos de datos
personales suponen para los derechos y libertades de las personas.
4. Los servicios de ciberseguridad y administración de sistemas, dependientes de
los respectivos Responsables de los Sistemas, podrán implementar tratamientos de
datos personales como consecuencia de la implantación de medidas de seguridad que
tengan un objeto distinto que la protección de los datos personales, en base a lo
dispuesto en el artículo 24 del Real Decreto 311/2022, de 3 de mayo, y teniendo en
cuenta, entre otros, los principios de limitación de finalidad; prohibición del tratamiento de
los datos personales para fines distintos; el principio de minimización de datos,
identificando los datos personales o las categorías de datos personales que pudieran ser
tratados; o del principio de limitación del plazo de conservación, identificando los plazos
máximos de conservación de los datos personales.
Terceras partes.
1. Cuando el Ministerio de Asuntos Económicos y Transformación Digital utilice
servicios o maneje información de otros organismos, se les hará partícipes de esta PSI,
se establecerán canales de información y coordinación de los respectivos Comités de
Seguridad TIC y se establecerán procedimientos de actuación para la reacción ante
incidentes de seguridad.
2. Cuando el Ministerio de Asuntos Económicos y Transformación Digital preste
servicios o ceda información a terceros, se les hará partícipes de esta PSI y de la
Normativa de Seguridad que ataña a dichos servicios e información. Los mismos
quedarán sujetos a las obligaciones establecidas en dicha normativa, pudiendo
desarrollar sus propios procedimientos operativos para satisfacerla. Se establecerán
procedimientos específicos de reporte y resolución de incidencias y se garantizará que el
personal de terceros esté adecuadamente concienciado en materia de seguridad.
3. Cuando algún aspecto de la PSI no pueda ser satisfecho por una tercera parte
según se establece en los párrafos anteriores, se requerirá un informe del Responsable
de la Seguridad que precise los riesgos en que se incurre y la forma de tratarlos. Dicho
cve: BOE-A-2023-8109
Verificable en https://www.boe.es
Artículo 18.
